今天上午,网上有人曝出支付宝存在非常严重的漏洞:熟人无需密码,仅仅通过识别购买商品、识别好友就可以登录你的支付宝帐号,甚至修改你的密码。
具体的操作过程是这样的:在登录别人的手机支付宝账号的时候,选择「忘记密码」,请求重置密码,接着支付宝会发送手机验证码,在验证码发送完成后选择手机不在身边,无法接收短信。之后支付宝就会提供其他的验证方式,先是让你在九张商品图片中选择该账户曾经购买过的商品,然后在九张人物照片中选择该账户的好友。一旦通过,你就可以修改登录密码,继而登录别人的支付宝了!
此消息一出,群众们全都惊呆了,这种方式实在是太可怕了,只要相互熟识就有盗号的条件,而大家也纷纷去实验这种所谓的熟人盗号的可行性,发现真的是有这种情况发生的……
好在这次支付宝的反应速度还算及时,发布声明,并将这种找回账号的使用范围限定在了用户自己的手机上,也就是说其他手机是无法再用这种方式去登录他人账户了。
下面是支付宝官方的声明。
即使这次事件官方已经宣告解决并给出相对合理的解释了,但我觉得我们仍有必要去深入看一下这次的事件,毕竟钱可都在里面存着呢……
从这份官方声明中我们可以看到,今天大家讨论的支付宝漏洞,其实是一种多因素影响下的特殊情况,即支付宝的风控系统会进行评估,再决定是否启动该类型的登录方式。
而支付宝的安全体系,据曾参与过相关功能开发的工作人员说,是比较负责和完善的,单就声明中的评估就有手机型号、网络环境、地理位置等一切可以跟支付相关联的考虑因素,而支付宝的风控系统,会根据以上因素去判断该账户的安全等级并给以相对应的安全挑战。
也就是说,之前大家在实验这种盗号方式的时候,其实是在一个相对稳定且安全地环境下进行的,跟完全陌生人去盗号的情况是不同的,而且通过这种方式能更改的是登录密码,而非支付密码。
不然在这项功能早已存在的情况下,怎么没见到大规模支付宝财产被盗的新闻?
有些媒体以「支付宝曝出重大安全漏洞」等标题去引导读者,我认为并不是太妥当,毕竟它涉及的场景触发条件非常的高,这种报导方式很容易让用户听风是雨,产生不必要的恐慌。
但是,
所有关于钱的事情,再小的问题也是大问题,更何况是支付宝这种几亿人在使用的重量级产品,难道仅仅因为这种风险小,触发条件高,我们就可以容忍并忽视吗?
显然不行。
那么作为普通人的我们,又可以采取哪些措施,去保护好自己的移动钱包呢?
单就就支付宝这个平台来讲,我们可以:
1. 尽量少地在网络上曝光自己的隐私信息
2. 随时留意手机短信,并且不要把之前用过的手机号随意转出
3. 购买支付宝的财产安全险,2 块钱,非本人操作的盗号损失 100 万以下全额赔付(在我的-保险服务中)
4. 提高安全问题的难度(在网页上的支付宝安全中心修改)
5. 调低蚂蚁花呗的额度(如果真的被盗,起码会把损失降到最小……)
6. 不频繁的金钱往来尽量走转账,而不是添加好友
7. 至于支付宝好友,我觉得能不用就不用吧……
小美说 
支付宝,作为一个怀揣着社交梦想的支付工具
其任何方面的改动都牵动着全国人民的心……
这次熟人可盗号事件一出,之前支付宝做的关于社交的努力可以说全都白费了,简直就是一夜回到解放前……
对此我只想说:
支付宝,咱们踏踏实实地做 支付工具 好不好呀!
聊天的话大家可以加小美的微信个人号,来跟小美互动哦,最近小美一直在最美应用的群里跟大家聊小程序的事情~不过我才不会把我的支付宝帐号告诉你咧,除非你打算给小美转钱!
